Standardisering av krypto i offentlig sektor Standardiseringsrådsmøte 14.09.11 (beslutningssak)
Bakgrunn Det er lite hensiktsmessig at hvert prosjekt som skal ta i bruk krypteringsteknologi, selv skal gjøre vurderinger av hvilke algoritmer som bør benyttes og med hvilken nøkkellengde. Anbefaling av en liste/veileder om hvilke algoritmer og hvilke nøkkellengder som er egnet for ulike anvendelsesområder i offentlig sektor
Rapporten Oversikt over de mest anerkjente standardiseringsorganisasjonene og fagmiljøene innen kryptografi. Oversikt over publiserte dokumenter fra disse miljøene Anbefaling av kryptomiljø som tilfredsstiller offentlig sektors behov
Avgrensninger Rapporten har kun sett på beskyttelsen av sensitiv, men ugradert informasjon som ikke omfattes av sikkerhetsloven. Kryptoanalyse er ikke en del av rapporten
Vedlegg til rapporten Inngående redegjørelse for generell teori innen kryptografi Symmetrisk Asymmetrisk Digital signering Hash-funksjoner Nøkkeladministrasjon (nøkkelgenerering, nøkkeldistribusjon)
Vedlegg til rapporten Identifiserer standardiserte og godkjente algoritmer og nøkkellengder DES,TDEA,AES, RSA,DSA, ECDSA og SHA-familien Beskrivelser av realiserte løsninger (protokoller) TLS og IPSEC Ser på noen bruksområder for kryptografi Transportkrypto Lagringskrypto
Kryptomiljøer Nasjonal sikkerhetsmyndighet (NSM) Direktorat underlagt Forsvarsdep. Cryptographic Requirements (CR) Primært for militær sektor, virksomheter underlagt sikkerhtetsloven moderate nivå for sivil sektor Tilpasset norske forhold
Kryptomiljøer National Institute of Standards and Technology (NIST) Amerikansk etat underlagt handelsdept. Utgir standarder vedr. kryptoalgoritmer til bruk i offentlige datasystemer i USA. Federal Information Processing Standards (FIPS) Special Publications (SP)
Kryptomiljøer European Network of Excellence for Cryptology II (ECRYPTII) Forskningsbasert nettverk bestående av europeiske aktører innen kryptologi. EU finansiert 4 års program Årlig utgivelse med anbefalinger vedr. kryptoalgoritmer og nøkkellengder.
Kryptomiljøer American National Standards Institute (ANSI) Privat amerikansk organisasjon USAs representant i ISO Utarbeider ikke standarder Selger ISO og ASC standarder (X9-serien) på sine nettsider International organization for Standards (ISO) Har utgitt en del standarder innen feltet (kryptoalgoritmer, nøkkellengder og nøkkeladministrering Internet Engineering Task Force (IETF) RFC
Punkter fra drøftingen NIST har gjennom sine FIPS og SP god dekning for ulike anvendelser av godkjente algoritmer for sivil sektor i USA NSM baserer seg blant annet på NISTs arbeid, med visse tillegg for å tilfredsstille norske krav NSM sitt CR kan virke litt tung for sivil sektor
Punkter fra drøftingen IETF virker veldig uoversiktlig med alle sine RFC er ISO og ANSI har et bredere nedslagsfelt og kanskje noe nøytralt ift. offentlig sektor ECRYPTII ser på krypto krav til styrke ved å tenke sikkerhetsnivåer, hvor lenge informasjonen skal beskyttes og verdien på informasjonen. Virker omfattende.
Punkter fra drøftingen Fordelen med NSM sin Cryptographic Requirements (CR) er at de samler de nasjonale kravene som stilles på ett sted, og man har i utgangspunktet kun ett dokument å forholde seg til.
Konklusjoner i rapporten Rapporten konkluderer med at NSM forvalter en liste over godkjente kryptografiske algoritmer med tilhørende godkjente nøkkellengder primært for militær anvendelse. Denne listen har også anbefalinger for sensitiv men ugradert informasjon. Det anbefales at NSM forespørres om å utarbeide og vedlikeholde et eget dokument for kun sivil offentlig anvendelse. Det anbefales også at Difi utreder protokoller for kryptering.
Rådet bør vurdere å anbefale Difi til å ta initiativ til at NSM etablerer et dokument med krav til krypto for beskyttelse av sensitiv, men ugradert informasjon i offentlig sektor.(nsms Moderate-kravsett) å anbefale at arbeidet med å utrede standarder for protokoller for kryptering av informasjon, legges til NSM i samarbeid med Difi og flere. Og at det opprettes en arbeidsgruppe for dette arbeidet.